Katastrof!
När det otänkbara sker, när det man aldrig förväntat sig inträffar. Vi kan förbereda oss på det värsta men ofta vidtar man förebyggande säkerhetsåtgärder med en inställning att aldrig behöva sätta dem i verket och därmed kan man stå lika oförberedd när något skett som om man aldrig ägnat säkerheten en tanke. Därför kan den mest förberedda vara lika oförberedd som den som inte gör något alls.
Förebyggande åtgärder
Om vi utgår från att det idag är självklart att man har backup på sin data och sina system, så har vi ett realistiskt utgångsläge. Men, att ha en backup är ju inte allt. Vi kan ju även gå in på detaljer som vad man har för plattform, vad man har för strategi för sina backuper och så vidare men jag tänker lämna detaljerna utanför. Istället kommer jag fokusera på generella tankar kring säkerhet.
Utöver backup så behöver man tänka på den fysiska säkerheten eller skalskydd som det också kallas, det vill säga vad man har för säkerhet mot stöld, brand eller sabotage. Kanske låter lite drastiskt att tro att någon skulle vilja sabotera en server men det sker faktiskt. Utöver detta så ligger fysisk access till utrustningen under denna kategori. Ingen ska kunna komma åt hårdvaran eller annan utrustning (anställdas bärbara datorer, plattor eller mobiler) på företaget som ger access till företagets system och data.
Det finns ytterligare saker man måste tänka på och det är intrångssäkerhet och virusskydd. Detta är utöver backup kanske den mest självklara kategorin men ändå något där många företag har stora brister vilket bland annat kan resultera i ransomware som krypterar data eller raderade data. Rätt utbildning, säker hantering av företagets e-post, rutiner vid förlust av hårdvara som mobiler, datorer och surfplattor är andra faktorer som kan förebygga intrång och haverier.
När katastrofen inträffar
Jag har redan deklarerat att jag inte kommer gå in på detaljer kring den fysiska säkerheten, backuper eller andra åtgärder som virusskydd eller brandväggar. Vi utgår från att allt sådant finns på plats. Men när väl det otänkbara sker, är man fortfarande redo?
Många har bra rutiner för hur backuper tas, man har kanske gjort en riskanalys och är beredda på en viss förlust av data. Det som man kanske inte tänker på är var man lagrar sina backuper. Kanske ligger på en hylla i serverrummet eller inlåsta i ett dokumentskåp på kontoret. Men, även om man har en backup i molnet eller inlåst i ett bankvalv så är den kanske inget värd. Vad händer vid en totalskada på företagets lokaler?
När det gäller IT-attacker, datavirus och andra intrång som kan skada data, då klarar man sig säkerligen långt med en backup som ligger på en hylla, ovanför servern. Om inte annat så kan man säkerligen vara igång igen på kortast möjliga tid. Men, om man saknar rutiner och om man inte har testat att återställningen fungerar, då är en backup tämligen värdelös.
Om vi tittar på det som de flesta kanske ser som ännu mer otänkbart, en stöld eller brand så ställs man inför en helt annan problematik. Nu är det inte bara data som gått förlorad utan även hårdvaran. I det läget behöver man ha rutiner för att återställa både den fysiska driftmiljön och sin data. Här börjar det bli riktigt knepigt.
Efter katastrofen
Om man förlorar data eller en server blir infekterad av virus, då kan man ofta återställa systemet, kanske med en viss dataförlust men ofta inte värre än senaste timmarnas jobb eller kanske senaste dygnets.
Men, när något allvarligare sker, om en server blir stulen eller om en brand förstör servrarna, då ställs man inför helt andra utmaningar. Ett alternativ är ju att hålla sig till molntjänster, virtuella servrar hos Microsoft, Google, Amazon eller någon annan leverantör. Är molntjänster och serverhallar uteslutet så måste man själv se till att man har koll på allt.
För att kunna komma i drift igen så krävs att backuper lagras säkert på annan plats, om det är i molnet eller fysiskt på en annan adress spelar mindre roll, huvudsaken är att den inte är på samma plats som servern. Man måste också ha dokumenterat sina system, allt från hårdvara till konfiguration av servrar, nätverk med mera. Man behöver också ha kontroll över sådant som licensnycklar, programvaror och dokumentationen över återställningsrutiner för att kunna återställa en miljö. Utöver detta så måste man också vara säkra på att man kan återställa hårdvaran. Att de rutiner man har verkligen fungerar. Om man har en backup på ett system där hårdvaran inte längre går att få tag i så kanske man ändå står handfallna. Därför är det viktigt att hårdvarans livslängd och tillgång till reservdelar tas i beaktande när man tar fram en säkerhetsstrategi.
Om man har sina backuper i säkert förvar. Man har säkerställt att man kan återställa sina backuper och man vet att man kan återställa sin hårdvara, då kan man komma i drift relativt fort. Med bra samarbetspartners, personal och leverantörer så kanske ett haveri är åtgärdat inom ett par dygn. Det är till och med möjligt att bygga upp ett helt kontor på en annan plats om man har kontroll på allt.
Om något i kedjan brister så kan det handla om flera dagar eller veckor, beroende på svårigheter att få tag i reservdelar, bristfälliga rutiner för återställning eller bristfällig dokumentation och kunskap. När en eller flera delar saknas i denna kedjan så kanske man aldrig kommer kunna återställa sina system. När det gäller affärs- eller produktionskritiska data och system så kan detta vara dödsstöten för en verksamhet.
Molnet löser allt, eller?
För många företag så är molntjänster ett bra alternativ. Det är dock viktigt att man säkerställer att det även här tas backup på system och data för att ett haveri ska gå åtgärda. Även molntjänster kan utsättas för dataintrång, fel på hårdvara eller buggar i mjukvara som kräver återställning. Ofta så har leverantören redundanta system och ett gott skalskydd. Men även molnlagring kan sakna fullgod säkerhet, både vad gäller backuper men också behörighet och access. Till exempel så har ju inte leverantören av en molnserverlösning backup på bokföringssystemets databas om man installerat mjukvaran själv på sin molnserver.
Många tjänster marknadsförs som säkra molntjänster men till det lägsta priset brukar också innebära den lägsta nivån av säkerhet. Det kan krävas tilläggstjänster för backup, tvåfaktorautentisering etc. för att uppnå ett acceptabelt skydd idag.Kontakta oss gärna för att få veta mer om vad vi kan hjälpa er med vad gäller säkerhet, både på plats hos er eller i molnet.
Vill du veta mer?
Langate är experter på drift och underhåll av lokala system samt molntjänster som Office 365, Azure med flera. Vi kan erbjuda rådgivning, automation, säkerhetslösningar och effektiva supportlösningar. Vi jobbar också med verksamhetsutveckling och systemanpassningar inom SharePoint, Dynamics CRM, Dynamics 365 samt utveckling i Microsoft .NET.
Ni är alltid välkomna att kontakta oss, så ska vi berätta mer. Läs mer om våra tjänster på vår webbsida: http://langate.se